Azure AD B2 C Приложение недоступно, когда signInAudience = AzureADMyOrg или AzureADMultipleOrgs

Question

Я новичок в Azure AD B2 C, поэтому я не до конца уверен в его возможностях. В любом случае я пытаюсь ограничить доступ к одному из моих зарегистрированных приложений для пользователей из того же клиента AD B2 C (сценарий с одним клиентом). Единственный способ, которым я смог сделать это, был через регистрацию приложений (предварительный просмотр), регистрация устаревших приложений, похоже, не поддерживает это.

Как только я установил опцию для одного владельца, приложение начинает появляться на вкладке "Собственные приложения" в колонке регистрации приложений (предварительного просмотра), но я не могу ее использовать. Всякий раз, когда я пытаюсь запустить поток по умолчанию или пользовательский поток, я получаю эту ошибку:

Предоставленное приложение с идентификатором 'XXXXXX-XXX-XXXX-XXXX-XXXXXX' недопустимо для этой службы. Пожалуйста, используйте приложение, созданное через портал B2 C, и повторите попытку.

Я также пытался установить мультитенантный сценарий (AzureADMultipleOrgs), но все равно получаю ту же ошибку. Единственный способ сделать эту работу - использовать AzureADandPersonalMicrosoftAccount, который оставляет приложение открытым для всех, и это не то, что мне нужно.

Мне не хватает дополнительной конфигурации или она все еще не поддерживается?

Спасибо!

Answer 1

Вам необходимо использовать параметр B2 C Speci c Application Registration, чтобы он был совместим с Azure AD B2 C Потоками пользователей или пользовательскими политиками. Если затем вам необходимо еще больше ограничить пользовательскую базу, которая должна иметь возможность войти в приложение, вам потребуется реализовать RBA C, см. Этот пример: https://github.com/azure-ad-b2c/samples/tree/master/policies/relying-party-rbac

В AAD B2 C назначение роли приложения и назначение приложения не учитываются, это понятия Azure AD, которые не соблюдаются Azure AD B2 C политики аутентификации.